逆向入门：用JADX读懂授权测试包

2024年6月记录，分类「移动端逆向」。这是一篇偏实战的记录，保留了当时的判断过程和后续沉淀。

先讲边界

JADX 在测试里的用途，是读懂授权测试包里参数怎么生成、版本差异在哪里，而不是做破解。

整理时我特意把输入、动作、观察点和风险拆开，方便后面补用例。

JADX看什么

• 先从抓包接口反查关键类和方法名。
• 关注签名参数、设备信息、版本号和异常分支。
• 把读到的分支转成接口测试和兼容性用例。

抓包接口: /api/sign
JADX入口: SignInterceptor
测试输出: 参数来源、异常分支、版本差异

输出什么

• 只分析授权包或 demo。
• 不记录密钥、绕过方式和敏感实现。
• 输出能服务缺陷定位或用例补充。

我一般会把这部分同步到缺陷模板里，让开发能直接看到复现材料和判断依据。

限制

JADX 对测试最大的帮助，是把黑盒里看不见的参数分支暴露出来。这个记录后续还可以继续补真实缺陷样本，让它从笔记变成团队检查清单。